リーク性のある API は企業の評判を海に流す恐れがある
人生において、一般的にコミュニケーションは素晴らしいものです。理解を深めたり、何か新しいことを学んだり、関係を築いたりするのに、これ以上簡単な方法はありません。ソフトウェア分野では、API はアプリケーション同士の通信を可能にし、機能や使いやすさを向上させるコミュニケーションの役割を果たします。このような接続性により、エンドユーザーが愛する、より豊かな体験が生まれることが多く、日々の生活の中でソフトウェアに期待するようになってきています。
しかし、現実の世界と同じように、彼らが話しすぎると大きな問題になります。Experianは最近、自社のAPIの1つがサードパーティのパートナーによって使用されているときに、この問題を苦労して発見しました。 漏洩の可能性 クレジットスコアは... まあ、ほぼすべてのアメリカ市民のクレジットスコアです。
問題はすぐに修正されましたが、この脆弱性が本当に完全に阻止されたかどうかについては疑問が残ります。あるベンダーが影響を受けた場合、他のベンダーも影響を受けた可能性が高く、その可能性も考えられます。 システムバグ、その安全でないAPIを利用するすべての人に影響します。
API セキュリティは、ほとんどのセキュリティ専門家が気にする問題であり、対処するための知識を身に付ける必要があります。
どんな勇敢なオタクでも、貧弱な API 認証をバイパスできる
多くのデータ漏えい、侵害、セキュリティインシデントの特徴は、首謀者がほとんど関与しないことです。私たちがSolarWindsで見たような複雑で陰湿で損害を与える攻撃では、サイバー犯罪の天才チームが実行する必要があり、それらはルールというよりはむしろ例外です。
APIが弱い認証で構築されていると、悪用されやすくなります。Experian の API のバグを発見したセキュリティ研究者のビル・デミルカピ氏は、このバグには認証なしでアクセスできると判断しました。生年月日フィールドに00/00/0000を入力すると、名前や郵送先住所などの公開されている情報のみを使用して、個人のクレジットスコアにアクセスできるようになりました。まだ報告されていませんが、これらの記録がスクレイピングされ、クレジット関連のデータダンプとして文脈化される(したがって貴重な)可能性は確かにあります。
ユースケースがどんなに小さくても、クリーンで機能的な認証プロセスを導入する必要があります。Chatterbox API が適切に保護されておらず、複数のシステムへのアクセスを許可する可能性があると、問題が生じます。
認証の失敗は 2 番目です OWASP トップ 10 API 脆弱性リスト。 詳細はこちら このバグを回避する方法について説明し、脳への栄養補給が終わったら、私たちのプラットフォームでスキルをテストしてください。
不十分な API セキュリティ制御は広く行き渡っている問題であり、文化的な変化が必要です
Experianのような組織だけに指を向けるのは公平ではありませんが、この特定のAPI公開で示された微妙な違いやセキュリティ制御の注意力の欠如は、ITシステムやエンドポイントの一部としてAPIを操作している多くの企業にとって良い兆候ではありません。
一般に、APIの脆弱性を発見して修正するだけでなく、保護すべきアタックサーフェスの一部としてそれらを理解するには、まだやるべきことがたくさんあります。API とその構築方法の可視性は大きな懸念事項であり、セキュリティのベストプラクティスの一環として求められるべきことです。最も厳しいセキュリティ対策を講じている組織であっても、公開された API が会社のセキュリティ管理の範囲外で機能していると、その対策が取り消されることがあります。API がどこから来たのか、最終的に誰が管理しているのか (サードパーティベンダーなのか) を尋ねることがこれまで以上に重要になっています。セキュリティはどの程度厳格ですか?)そして、どのような情報にアクセスしているのか。
インジェクションの脆弱性は、すべてのCISOにとって依然として問題となっています。
API セキュリティは、セキュリティプログラムに組み込むにはかなり新しいモジュールのように思えるかもしれませんが、普通の古い Web ソフトウェアで見られる (非常に) 古いトリックによって悪用される可能性があります。
A 最近明らかになったアクセリオンへの攻撃 連鎖SQLインジェクションとOSコマンド実行攻撃により、脅威アクターがAPIを操作し、社会保障番号を含む大量の機密データを抽出できることが明らかになりました。攻撃者が強盗を実行するには、AccellionのFTAソフトウェアに関する広範な知識が必要であり、これは実質的なリバースエンジニアリングによって可能だったと判断しました。
この侵害は 2020 年 12 月から 2021 年 1 月にかけて発生していたため、泥棒が被害を被るには十分な時間がありました。2021 年 2 月にさらに発見され、保存された XSS の脆弱性が明らかになりました。フォレンジック分析の結果、ユーザー入力が不適切にサニタイズされた API エンドポイントが 1 つだけで、呼び出し時に引数を挿入できることが判明しました。 admin.pl スクリプト。
多くの名門教育機関を含む3000を超える顧客を抱えるこの侵害は、広範囲に及ぶ可能性があります。残念なことに、これらのエクスプロイトは一般的な脆弱性を利用して可能になったのです。その多くは、セキュリティを意識した開発者が本番前のコードレベルで対処できたはずです。何度も目にしているように、小さなウィンドウを開いたままにしておくだけで大きな問題が発生します。そして、人間主導のサイバー防衛の文化を、極めて人間的な問題を解決するための戦略の一部とする必要があります。
APIセキュリティスキルを今すぐテストしたい Java Spring API、 コトリンスプリング API、 C# (.NET) ウェブ API そしてもっと?ラーニングプラットフォームで API の課題をいくつか試してみてください (ドロップダウンからすべての言語:フレームワークを確認してください)。
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
人生において、一般的にコミュニケーションは素晴らしいものです。理解を深めたり、何か新しいことを学んだり、関係を築いたりするのに、これ以上簡単な方法はありません。ソフトウェア分野では、API はアプリケーション同士の通信を可能にし、機能や使いやすさを向上させるコミュニケーションの役割を果たします。このような接続性により、エンドユーザーが愛する、より豊かな体験が生まれることが多く、日々の生活の中でソフトウェアに期待するようになってきています。
しかし、現実の世界と同じように、彼らが話しすぎると大きな問題になります。Experianは最近、自社のAPIの1つがサードパーティのパートナーによって使用されているときに、この問題を苦労して発見しました。 漏洩の可能性 クレジットスコアは... まあ、ほぼすべてのアメリカ市民のクレジットスコアです。
問題はすぐに修正されましたが、この脆弱性が本当に完全に阻止されたかどうかについては疑問が残ります。あるベンダーが影響を受けた場合、他のベンダーも影響を受けた可能性が高く、その可能性も考えられます。 システムバグ、その安全でないAPIを利用するすべての人に影響します。
API セキュリティは、ほとんどのセキュリティ専門家が気にする問題であり、対処するための知識を身に付ける必要があります。
どんな勇敢なオタクでも、貧弱な API 認証をバイパスできる
多くのデータ漏えい、侵害、セキュリティインシデントの特徴は、首謀者がほとんど関与しないことです。私たちがSolarWindsで見たような複雑で陰湿で損害を与える攻撃では、サイバー犯罪の天才チームが実行する必要があり、それらはルールというよりはむしろ例外です。
APIが弱い認証で構築されていると、悪用されやすくなります。Experian の API のバグを発見したセキュリティ研究者のビル・デミルカピ氏は、このバグには認証なしでアクセスできると判断しました。生年月日フィールドに00/00/0000を入力すると、名前や郵送先住所などの公開されている情報のみを使用して、個人のクレジットスコアにアクセスできるようになりました。まだ報告されていませんが、これらの記録がスクレイピングされ、クレジット関連のデータダンプとして文脈化される(したがって貴重な)可能性は確かにあります。
ユースケースがどんなに小さくても、クリーンで機能的な認証プロセスを導入する必要があります。Chatterbox API が適切に保護されておらず、複数のシステムへのアクセスを許可する可能性があると、問題が生じます。
認証の失敗は 2 番目です OWASP トップ 10 API 脆弱性リスト。 詳細はこちら このバグを回避する方法について説明し、脳への栄養補給が終わったら、私たちのプラットフォームでスキルをテストしてください。
不十分な API セキュリティ制御は広く行き渡っている問題であり、文化的な変化が必要です
Experianのような組織だけに指を向けるのは公平ではありませんが、この特定のAPI公開で示された微妙な違いやセキュリティ制御の注意力の欠如は、ITシステムやエンドポイントの一部としてAPIを操作している多くの企業にとって良い兆候ではありません。
一般に、APIの脆弱性を発見して修正するだけでなく、保護すべきアタックサーフェスの一部としてそれらを理解するには、まだやるべきことがたくさんあります。API とその構築方法の可視性は大きな懸念事項であり、セキュリティのベストプラクティスの一環として求められるべきことです。最も厳しいセキュリティ対策を講じている組織であっても、公開された API が会社のセキュリティ管理の範囲外で機能していると、その対策が取り消されることがあります。API がどこから来たのか、最終的に誰が管理しているのか (サードパーティベンダーなのか) を尋ねることがこれまで以上に重要になっています。セキュリティはどの程度厳格ですか?)そして、どのような情報にアクセスしているのか。
インジェクションの脆弱性は、すべてのCISOにとって依然として問題となっています。
API セキュリティは、セキュリティプログラムに組み込むにはかなり新しいモジュールのように思えるかもしれませんが、普通の古い Web ソフトウェアで見られる (非常に) 古いトリックによって悪用される可能性があります。
A 最近明らかになったアクセリオンへの攻撃 連鎖SQLインジェクションとOSコマンド実行攻撃により、脅威アクターがAPIを操作し、社会保障番号を含む大量の機密データを抽出できることが明らかになりました。攻撃者が強盗を実行するには、AccellionのFTAソフトウェアに関する広範な知識が必要であり、これは実質的なリバースエンジニアリングによって可能だったと判断しました。
この侵害は 2020 年 12 月から 2021 年 1 月にかけて発生していたため、泥棒が被害を被るには十分な時間がありました。2021 年 2 月にさらに発見され、保存された XSS の脆弱性が明らかになりました。フォレンジック分析の結果、ユーザー入力が不適切にサニタイズされた API エンドポイントが 1 つだけで、呼び出し時に引数を挿入できることが判明しました。 admin.pl スクリプト。
多くの名門教育機関を含む3000を超える顧客を抱えるこの侵害は、広範囲に及ぶ可能性があります。残念なことに、これらのエクスプロイトは一般的な脆弱性を利用して可能になったのです。その多くは、セキュリティを意識した開発者が本番前のコードレベルで対処できたはずです。何度も目にしているように、小さなウィンドウを開いたままにしておくだけで大きな問題が発生します。そして、人間主導のサイバー防衛の文化を、極めて人間的な問題を解決するための戦略の一部とする必要があります。
APIセキュリティスキルを今すぐテストしたい Java Spring API、 コトリンスプリング API、 C# (.NET) ウェブ API そしてもっと?ラーニングプラットフォームで API の課題をいくつか試してみてください (ドロップダウンからすべての言語:フレームワークを確認してください)。
人生において、一般的にコミュニケーションは素晴らしいものです。理解を深めたり、何か新しいことを学んだり、関係を築いたりするのに、これ以上簡単な方法はありません。ソフトウェア分野では、API はアプリケーション同士の通信を可能にし、機能や使いやすさを向上させるコミュニケーションの役割を果たします。このような接続性により、エンドユーザーが愛する、より豊かな体験が生まれることが多く、日々の生活の中でソフトウェアに期待するようになってきています。
しかし、現実の世界と同じように、彼らが話しすぎると大きな問題になります。Experianは最近、自社のAPIの1つがサードパーティのパートナーによって使用されているときに、この問題を苦労して発見しました。 漏洩の可能性 クレジットスコアは... まあ、ほぼすべてのアメリカ市民のクレジットスコアです。
問題はすぐに修正されましたが、この脆弱性が本当に完全に阻止されたかどうかについては疑問が残ります。あるベンダーが影響を受けた場合、他のベンダーも影響を受けた可能性が高く、その可能性も考えられます。 システムバグ、その安全でないAPIを利用するすべての人に影響します。
API セキュリティは、ほとんどのセキュリティ専門家が気にする問題であり、対処するための知識を身に付ける必要があります。
どんな勇敢なオタクでも、貧弱な API 認証をバイパスできる
多くのデータ漏えい、侵害、セキュリティインシデントの特徴は、首謀者がほとんど関与しないことです。私たちがSolarWindsで見たような複雑で陰湿で損害を与える攻撃では、サイバー犯罪の天才チームが実行する必要があり、それらはルールというよりはむしろ例外です。
APIが弱い認証で構築されていると、悪用されやすくなります。Experian の API のバグを発見したセキュリティ研究者のビル・デミルカピ氏は、このバグには認証なしでアクセスできると判断しました。生年月日フィールドに00/00/0000を入力すると、名前や郵送先住所などの公開されている情報のみを使用して、個人のクレジットスコアにアクセスできるようになりました。まだ報告されていませんが、これらの記録がスクレイピングされ、クレジット関連のデータダンプとして文脈化される(したがって貴重な)可能性は確かにあります。
ユースケースがどんなに小さくても、クリーンで機能的な認証プロセスを導入する必要があります。Chatterbox API が適切に保護されておらず、複数のシステムへのアクセスを許可する可能性があると、問題が生じます。
認証の失敗は 2 番目です OWASP トップ 10 API 脆弱性リスト。 詳細はこちら このバグを回避する方法について説明し、脳への栄養補給が終わったら、私たちのプラットフォームでスキルをテストしてください。
不十分な API セキュリティ制御は広く行き渡っている問題であり、文化的な変化が必要です
Experianのような組織だけに指を向けるのは公平ではありませんが、この特定のAPI公開で示された微妙な違いやセキュリティ制御の注意力の欠如は、ITシステムやエンドポイントの一部としてAPIを操作している多くの企業にとって良い兆候ではありません。
一般に、APIの脆弱性を発見して修正するだけでなく、保護すべきアタックサーフェスの一部としてそれらを理解するには、まだやるべきことがたくさんあります。API とその構築方法の可視性は大きな懸念事項であり、セキュリティのベストプラクティスの一環として求められるべきことです。最も厳しいセキュリティ対策を講じている組織であっても、公開された API が会社のセキュリティ管理の範囲外で機能していると、その対策が取り消されることがあります。API がどこから来たのか、最終的に誰が管理しているのか (サードパーティベンダーなのか) を尋ねることがこれまで以上に重要になっています。セキュリティはどの程度厳格ですか?)そして、どのような情報にアクセスしているのか。
インジェクションの脆弱性は、すべてのCISOにとって依然として問題となっています。
API セキュリティは、セキュリティプログラムに組み込むにはかなり新しいモジュールのように思えるかもしれませんが、普通の古い Web ソフトウェアで見られる (非常に) 古いトリックによって悪用される可能性があります。
A 最近明らかになったアクセリオンへの攻撃 連鎖SQLインジェクションとOSコマンド実行攻撃により、脅威アクターがAPIを操作し、社会保障番号を含む大量の機密データを抽出できることが明らかになりました。攻撃者が強盗を実行するには、AccellionのFTAソフトウェアに関する広範な知識が必要であり、これは実質的なリバースエンジニアリングによって可能だったと判断しました。
この侵害は 2020 年 12 月から 2021 年 1 月にかけて発生していたため、泥棒が被害を被るには十分な時間がありました。2021 年 2 月にさらに発見され、保存された XSS の脆弱性が明らかになりました。フォレンジック分析の結果、ユーザー入力が不適切にサニタイズされた API エンドポイントが 1 つだけで、呼び出し時に引数を挿入できることが判明しました。 admin.pl スクリプト。
多くの名門教育機関を含む3000を超える顧客を抱えるこの侵害は、広範囲に及ぶ可能性があります。残念なことに、これらのエクスプロイトは一般的な脆弱性を利用して可能になったのです。その多くは、セキュリティを意識した開発者が本番前のコードレベルで対処できたはずです。何度も目にしているように、小さなウィンドウを開いたままにしておくだけで大きな問題が発生します。そして、人間主導のサイバー防衛の文化を、極めて人間的な問題を解決するための戦略の一部とする必要があります。
APIセキュリティスキルを今すぐテストしたい Java Spring API、 コトリンスプリング API、 C# (.NET) ウェブ API そしてもっと?ラーニングプラットフォームで API の課題をいくつか試してみてください (ドロップダウンからすべての言語:フレームワークを確認してください)。
Klicken Sie auf den folgenden Link, um die PDF-Datei dieser Ressource herunterzuladen.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenデモを予約
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
人生において、一般的にコミュニケーションは素晴らしいものです。理解を深めたり、何か新しいことを学んだり、関係を築いたりするのに、これ以上簡単な方法はありません。ソフトウェア分野では、API はアプリケーション同士の通信を可能にし、機能や使いやすさを向上させるコミュニケーションの役割を果たします。このような接続性により、エンドユーザーが愛する、より豊かな体験が生まれることが多く、日々の生活の中でソフトウェアに期待するようになってきています。
しかし、現実の世界と同じように、彼らが話しすぎると大きな問題になります。Experianは最近、自社のAPIの1つがサードパーティのパートナーによって使用されているときに、この問題を苦労して発見しました。 漏洩の可能性 クレジットスコアは... まあ、ほぼすべてのアメリカ市民のクレジットスコアです。
問題はすぐに修正されましたが、この脆弱性が本当に完全に阻止されたかどうかについては疑問が残ります。あるベンダーが影響を受けた場合、他のベンダーも影響を受けた可能性が高く、その可能性も考えられます。 システムバグ、その安全でないAPIを利用するすべての人に影響します。
API セキュリティは、ほとんどのセキュリティ専門家が気にする問題であり、対処するための知識を身に付ける必要があります。
どんな勇敢なオタクでも、貧弱な API 認証をバイパスできる
多くのデータ漏えい、侵害、セキュリティインシデントの特徴は、首謀者がほとんど関与しないことです。私たちがSolarWindsで見たような複雑で陰湿で損害を与える攻撃では、サイバー犯罪の天才チームが実行する必要があり、それらはルールというよりはむしろ例外です。
APIが弱い認証で構築されていると、悪用されやすくなります。Experian の API のバグを発見したセキュリティ研究者のビル・デミルカピ氏は、このバグには認証なしでアクセスできると判断しました。生年月日フィールドに00/00/0000を入力すると、名前や郵送先住所などの公開されている情報のみを使用して、個人のクレジットスコアにアクセスできるようになりました。まだ報告されていませんが、これらの記録がスクレイピングされ、クレジット関連のデータダンプとして文脈化される(したがって貴重な)可能性は確かにあります。
ユースケースがどんなに小さくても、クリーンで機能的な認証プロセスを導入する必要があります。Chatterbox API が適切に保護されておらず、複数のシステムへのアクセスを許可する可能性があると、問題が生じます。
認証の失敗は 2 番目です OWASP トップ 10 API 脆弱性リスト。 詳細はこちら このバグを回避する方法について説明し、脳への栄養補給が終わったら、私たちのプラットフォームでスキルをテストしてください。
不十分な API セキュリティ制御は広く行き渡っている問題であり、文化的な変化が必要です
Experianのような組織だけに指を向けるのは公平ではありませんが、この特定のAPI公開で示された微妙な違いやセキュリティ制御の注意力の欠如は、ITシステムやエンドポイントの一部としてAPIを操作している多くの企業にとって良い兆候ではありません。
一般に、APIの脆弱性を発見して修正するだけでなく、保護すべきアタックサーフェスの一部としてそれらを理解するには、まだやるべきことがたくさんあります。API とその構築方法の可視性は大きな懸念事項であり、セキュリティのベストプラクティスの一環として求められるべきことです。最も厳しいセキュリティ対策を講じている組織であっても、公開された API が会社のセキュリティ管理の範囲外で機能していると、その対策が取り消されることがあります。API がどこから来たのか、最終的に誰が管理しているのか (サードパーティベンダーなのか) を尋ねることがこれまで以上に重要になっています。セキュリティはどの程度厳格ですか?)そして、どのような情報にアクセスしているのか。
インジェクションの脆弱性は、すべてのCISOにとって依然として問題となっています。
API セキュリティは、セキュリティプログラムに組み込むにはかなり新しいモジュールのように思えるかもしれませんが、普通の古い Web ソフトウェアで見られる (非常に) 古いトリックによって悪用される可能性があります。
A 最近明らかになったアクセリオンへの攻撃 連鎖SQLインジェクションとOSコマンド実行攻撃により、脅威アクターがAPIを操作し、社会保障番号を含む大量の機密データを抽出できることが明らかになりました。攻撃者が強盗を実行するには、AccellionのFTAソフトウェアに関する広範な知識が必要であり、これは実質的なリバースエンジニアリングによって可能だったと判断しました。
この侵害は 2020 年 12 月から 2021 年 1 月にかけて発生していたため、泥棒が被害を被るには十分な時間がありました。2021 年 2 月にさらに発見され、保存された XSS の脆弱性が明らかになりました。フォレンジック分析の結果、ユーザー入力が不適切にサニタイズされた API エンドポイントが 1 つだけで、呼び出し時に引数を挿入できることが判明しました。 admin.pl スクリプト。
多くの名門教育機関を含む3000を超える顧客を抱えるこの侵害は、広範囲に及ぶ可能性があります。残念なことに、これらのエクスプロイトは一般的な脆弱性を利用して可能になったのです。その多くは、セキュリティを意識した開発者が本番前のコードレベルで対処できたはずです。何度も目にしているように、小さなウィンドウを開いたままにしておくだけで大きな問題が発生します。そして、人間主導のサイバー防衛の文化を、極めて人間的な問題を解決するための戦略の一部とする必要があります。
APIセキュリティスキルを今すぐテストしたい Java Spring API、 コトリンスプリング API、 C# (.NET) ウェブ API そしてもっと?ラーニングプラットフォームで API の課題をいくつか試してみてください (ドロップダウンからすべての言語:フレームワークを確認してください)。
目次
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約[ダウンロード]Ressourcen für den Einstieg
Themen und Inhalte der Secure-Code-Schulung
Unsere branchenführenden Inhalte werden unter Berücksichtigung der Aufgaben unserer Kunden ständig weiterentwickelt, um mit der sich ständig verändernden Softwareentwicklungsumgebung Schritt zu halten. Sie decken alle Themen von KI bis hin zu XQuery-Injection ab und sind für verschiedene Aufgabenbereiche konzipiert, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätssicherungsfachleuten. Werfen Sie einen Blick auf die Inhalte unseres Content-Katalogs, sortiert nach Themen und Aufgabenbereichen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
「Cybermon 2025 Beat the Boss」 kann nun das ganze Jahr über bei SCW gespielt werden. Führen Sie anspruchsvolle AI/LLM-Sicherheitsherausforderungen ein, um die sichere AI-Entwicklung in großem Maßstab zu stärken.
Erläuterung des Cyber-Resilience-Gesetzes: Bedeutung für die Entwicklung sicherer Software
Erfahren Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams auf Secure-by-Design-Praktiken, Schwachstellenprävention und die Kompetenzentwicklung von Entwicklern vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 ist der erste Teil der zehnteiligen Reihe „Enablers of Success“ und zeigt, wie sichere Programmierung mit geschäftlichen Ergebnissen wie Risikominderung und Geschwindigkeit verknüpft werden kann, um Programme langfristig zu optimieren.
